// client-only · webcrypto api

— вставьте токен выше

// расшифрованные header и payload — здесь


              curl -sX POST 'https://api.whittly.dev/v1/jwt/decode' \
  -H 'Authorization: Bearer $WHITTLY_API_KEY' \
  -H 'Content-Type: application/json' \
  -d '{"token":"eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJhbGljZSJ9.abc"}'


              const res = await fetch('https://api.whittly.dev/v1/jwt/decode', {
  method: 'POST',
  headers: {
    'Authorization': 'Bearer ' + apiKey,
    'Content-Type': 'application/json',
  },
  body: JSON.stringify({ token: "eyJhbGciOiJIUzI1NiJ9..." }),
});
const data = await res.json();


              const { data } = await axios.post(
  'https://api.whittly.dev/v1/jwt/decode',
  { token: "eyJhbGciOiJIUzI1NiJ9..." },
  { headers: { Authorization: 'Bearer ' + apiKey } }
);

// proмассовая валидацияpro·синхронизация историиproподробнее →

// о инструменте

JWT (JSON Web Token) состоит из трёх частей в Base64URL-кодировании: заголовок с алгоритмом, полезная нагрузка с данными (ID пользователя, роли, время истечения) и подпись. Инструмент декодирует все три части без проверки подписи.

// когда использовать

Посмотреть содержимое токена авторизации
Проверить срок действия токена (поле exp) без написания кода
Отладить проблемы аутентификации в разработке
Узнать алгоритм подписи токена

// faq

Можно ли проверить подпись JWT?

Проверка подписи на клиенте требует секретного или публичного ключа — их не стоит вставлять в веб-инструменты. Этот инструмент декодирует и отображает payload. Проверку подписи выполняйте на сервере через свою библиотеку авторизации.

Почему payload читается без ключа?

JWT payload закодирован в Base64URL, а не зашифрован. Подпись только подтверждает подлинность — но не скрывает содержимое. Никогда не храните в JWT секретные данные без шифрования (JWE).

// похожие инструменты

// о инструменте

// когда использовать

// faq